Sakura ドメイン名取得、Let's Encrypt ワイルドカード証明書

2024-12-262024
98.5% (360.8/366)
December
83.4% (25.8/31)
Week 52
55.1% (3.8/7)
Day 26 Thu
85.7% (20.5/24)

訪問者

total: 3075
today: 1
yesterday: 0
now: 1

↑

更新

MenuBar

ドメイン名取得
Let's Encrypt ワイルドカード証明書
さくらのAPIを使った DNS-01 <初回失敗> → 成功
できたワイルドカード証明書の中身を見る
【参考】APIを使わずに certbot で DNS-01 チャレンジ

ドメイン名取得 †

https://domain.sakura.ad.jp/

↑

Let's Encrypt ワイルドカード証明書 †

Let's Encrypt では、サイト証明書を発行するときに HTTP-01 と DNS-01 を使うことができる
HTTP-01 チャレンジ
- http://<YOUR_DOMAIN>/.well-known/acme-challenge/<TOKEN> に外部からアクセスできたら (→ つまりWebサーバの管理者だと証明できたら)
- <YOUR_DOMAIN> のサイト証明書を発行してくれる
DNS-01 チャレンジ
- DNS の _acme-challenge.<YOUR_DOMAIN> の TXT エントリーに <TOKEN> が設定できたら (→ つまりDNSのエントリーを変更できる管理者だと証明できたら)
- <YOUR_DOMAIN> のサイト証明書を発行してくれる
ワイルドカード証明書の発行は DNS-01 チャレンジでしか発行してくれない
- 証明書が *.at-sushi.com というようにワイルドカード指定なら www.at-sushi.com、ftp.at-sushi.com、... で証明書として使える
- 注意事項:
  - サブドメインのサブドメインは別途ワイルドカード証明書が必要 lsf1.cluster1.at-sushi.com は *.at-sushi.com の対象外
  - サブドメインがない場合はワイルドカード証明書の対象外 at-sushi.com は *.at-sushi.com の対象外

↑

さくらのAPIを使った DNS-01 <初回失敗> → 成功 †

DNS-01 チャレンジを行う certbot コマンドの plugin に、さくらクラウドの API を使って証明書を発行してくれるものがある
https://certbot-dns-sakuracloud.readthedocs.io/en/stable/
要は、DNS の _acme-challenge.<YOUR_DOMAIN> の TXT エントリーに Let's Encrypt 側の指定した <TOKEN> を自動的に設定してくれる pluing

~~...でもうまく行かなかった。けど、~~ 何回かやっているうちにうまくいくようになった

インストール

$ sudo apt install python3-certbot-dns-sakuracloud

「さくらのクラウド」で API キーを発行 https://www.sakura.ad.jp/

/root/.sakura に API キーを設定

# Sakura Cloud API credentials used by Certbot
dns_sakuracloud_api_token  = 00000000-0000-0000-0000-000000000000
dns_sakuracloud_api_secret = MDAwMDAwMDAwMDAwMDAwMDAwMDAwMDAwMDAwMDAw

実行

# sudo -s; cd /root/
$ certbot certonly --dns-sakuracloud -d *.at-sushi.com
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
  /etc/letsencrypt/live/at-sushi.com/fullchain.pem
  ...

昨日やったときは

Unable to determine zone identifier for *.at-sushi.com using zone names: ['at-sushi.com', 'com']

というエラーが出てうまく行かなかった

二回目以降は
```
# certbot renew
```
で更新する

↑

できたワイルドカード証明書の中身を見る †

README

`[cert name]/privkey.pem`  : the private key for your certificate.
`[cert name]/fullchain.pem`: the certificate file used in most server software.
`[cert name]/chain.pem`    : used for OCSP stapling in Nginx >=1.3.7.
`[cert name]/cert.pem`     : will break many server configurations, and should not be used
                 without reading further documentation (see link below).

cert.pem

# openssl x509 -text -noout -in /etc/letsencrypt/live/at-sushi.com/cert.pem 
Certificate:
    Data:
        Version: 3 (0x2)
        Issuer: C = US, O = Let's Encrypt, CN = R3
        Validity
            Not Before: May 10 12:43:51 2021 GMT
            Not After : Aug  8 12:43:51 2021 GMT
        Subject: CN = *.at-sushi.com

よか

↑

【参考】APIを使わずに certbot で DNS-01 チャレンジ †

certbot を実行して、TOKENを提示されるまで

$ sudo certbot certonly --manual \
 --preferred-challenges dns \
 -d *.at-sushi.com \
 -m webmaster@at-sushi.com \
 --agree-tos \
 --manual-public-ip-logging-ok
...
Please deploy a DNS TXT record under the name
_acme-challenge.at-sushi.com with the following value:

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx（ランダムな文字列）
Before continuing, verify the record is deployed.

ここで、さくらクラウドで、DNS の _acme-challenge.at-sushi.com の TXT 項目を作成して、 certbot から提示された TOKEN xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx を設定する。

ちょっと休憩してからDNSに行き渡ったことを確認する

$ nslookup -q=TXT _acme-challenge.at-sushi.com
Server:         100.115.92.193
Address:        100.115.92.193#53

Non-authoritative answer:
_acme-challenge.at-sushi.com    text = "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"

Enter キー入力待ち状態になっている certbot コマンドで Enter キーを入力する
証明書が発行される

一回手動でやったから、さくらのAPIを使った DNS-01 がうまくいくようになったのかなぁ？

CentOS 6 on さくらVPS